Seguridad Informática y Criptografía. Sistemas de Cifra en Flujo

Capítulo 11
Sistemas de Cifra en Flujo
Seguridad Informática y Criptografía
Ultima actualización del archivo: 01/03/05

Este archivo tiene: 51 diapositivas
Material Docente de Dr. Jorge Ramió Aguirre

v 4.0
Libre Distribución Universidad Politécnica de Madrid
Este archivo forma parte de un curso completo sobre Seguridad Informática y Criptografía. Se autoriza el uso,
reproducción en computador y su impresión en papel, sólo con fines docentes y/o personales, respetando los
créditos del autor. Queda por tanto prohibida su venta, excepto la versión 3.1 a través del Departamento de
Publicaciones de la Escuela Universitaria de Informática de la Universidad Politécnica de Madrid, España.
Curso de Seguridad Informática y Criptografía © JRA

Cifrador de flujo básico
• Recordando la propuesta de cifrador hecha por Vernam en 1917,
los cifradores de flujo (sistemas con clave secreta) usarán:
– Un algoritmo de cifra basado en la función XOR.
– Una secuencia cifrante binaria y pseudoaleatoria denominada
S y que se obtiene a partir una clave secreta K compartida por
emisor y receptor, y un algoritmo generador determinístico.
– El mismo algoritmo para el descifrado debido el carácter
involutivo de la función XOR.
Clave K secuencia cifrante Clave K
Algoritmo S C S Algoritmo
Determinístico
⊕ ⊕ Determinístico
Operaciones ⊕ con bits
MENSAJE M M MENSAJE
Capítulo 11: Sistemas de Cifra en Flujo Página 409
© Jorge Ramió Aguirre Madrid (España) 2005

Características de la secuencia cifrante S
Condiciones para una clave binaria segura
• Período:
– La clave deberá ser tanto o más larga que el mensaje. En la
práctica se usará una semilla K de unos 120 a 250 bits para
generar períodos superiores a 1035.
• Distribución de bits:
– Distribución uniforme de unos y ceros que represente una
secuencia pseudoaleatoria: postulados de Golomb.
Rachas de dígitos: uno o más bits entre dos bits distintos.
Función de autocorrelación fuera de fase AC(k):
desplazamiento de k bits sobre la misma secuencia Si.
http://ee.usc.edu/faculty_staff/bios/golomb.html

Rachas de dígitos en una secuencia
Rachas de una secuencia S de período T = 15
El próximo
El bit anterior 11 11 11 11 00 11 00 11 11 00 00 11 00 00 00 bit será un 1
era un 0
Rachas de 1s
Rachas de 0s 1 entre dos 0s
0 entre dos 1s
Racha de 00s
Racha de 1111s Racha de 11s 00 entre dos 1s
1111 entre dos 0s 11 entre dos 0s Racha de 000s

000 entre dos 1s

Distribución de las rachas de dígitos
Las rachas, es decir la secuencia de dígitos iguales entre
dos dígitos distintos, deberán seguir una distribución
estadística de forma que la secuencia cifrante Si tenga un
comportamiento de clave aleatoria o pseudoaleatoria.
Para que esto se cumpla, es obvio que habrá mayor
número de rachas cortas que de rachas largas como se
observa en el ejemplo anterior.
Como veremos más adelante, esta distribución seguirá
una progresión geométrica. Por ejemplo una secuencia Si
podría tener 8 rachas de longitud uno, 4 de longitud dos,
2 de longitud tres y 1 de longitud cuatro.

Autocorrelación fuera de fase AC(k)
Función de autocorrelación:
– Autocorrelación AC(k) fuera de fase de una secuencia
Si de período T desplazada k bits a la izquierda:
AC(k) = (A - F) / T
Aciertos ⇒ bits iguales Fallos ⇒ bits diferentes
Ejemplo
Si 1 1 1 1 0 1 0 1 1 0 0 1 0 0 0 Si k = 1
A= 1 1 1 0 1 0 1 1 0 0 1 0 0 0 1 A=7; F=8
F= AC(1) = -1/15

Autocorrelación fuera de fase constante
Si 1 1 1 1 0 1 0 1 1 0 0 1 0 0 0
Como ejercicio, compruebe que para esta secuencia cifrante Si la

autocorrelación fuera de fase AC(k) para todos los valores de k
(1 ≤ k ≤ 14) es constante e igual a -1/15. Esta característica será
muy importante para que la calidad de la clave sea alta.
Es decir, para que una secuencia cifrante S podamos considerada

segura y apropiada para una cifra, además de cumplir con la
distribución de rachas vista anteriormente, deberá presentar una
autocorrelación fuera de fase AC(k) constante.

Imprevisibilidad e implementación de Si
• Imprevisibilidad:
– Aunque se conozca una parte de la secuencia Si, la
probabilidad de predecir el próximo dígito no deberá
ser superior al 50%.
– Esta característica se definirá a partir de la denominada
complejidad lineal.
• Facilidad de implementación:
– Debe ser fácil construir un generador de secuencia
cifrante con circuitos electrónicos y chips, con bajo
coste, alta velocidad, bajo consumo, un alto nivel de
integración, etc.

Primer postulado de Golomb G1
Postulado G1:
– Deberá existir igual número de ceros que de unos. Se
acepta como máximo una diferencia igual a la unidad.
S1 1 1 1 1 0 1 0 1 1 0 0 1 0 0 0
En la secuencia S1 de 15 bits, hay 8 unos y 7
ceros. Luego sí cumple con el postulado G1.
S2 0 1 0 1 1 1 0 0 1 0 0 1 0 0 0 1
En la secuencia S2 de 16 bits, hay 7 unos y 9
ceros. Luego no cumple con el postulado G1.

Significado del postulado G1
Si 1 1 1 1 0 1 0 1 1 0 0 1 0 0 0
¿Qué significa esto?
Si una secuencia Si como la indicada cumple con G1, quiere

decir que la probabilidad de recibir un bit 1 es igual a la de
recibir un bit 0, es decir un 50%.
Por lo tanto, a lo largo de una secuencia Si, independientemente
de los bits recibidos con anterioridad, en media será igualmente
probable recibir un “1” que un “0”, pues en la secuencia hay una
mitad de valores “1” y otra mitad de valores “0”.

Segundo postulado de Golomb G2
Postulado G2:
– En un período T, la mitad de las rachas de Si serán de
longitud 1, la cuarta parte de longitud 2, la octava parte
de longitud 3, etc.
Las rachas de esta
secuencia están en
Si 1 1 1 1 0 1 0 1 1 0 0 1 0 0 0 una diapositiva
anterior
En la secuencia Si de 15 bits, había 4 rachas de longitud uno, 2

rachas de longitud dos, 1 racha de longitud tres y 1 racha de
longitud cuatro. Este tipo de distribución en las rachas para
períodos impares, es típica de las denominadas m-secuencias
como veremos más adelante en el apartado generadores LFSR.

Si 1 1 1 1 0 1 0 1 1 0 0 1 0 0 0
Si una secuencia Si como la indicada cumple con G2, quiere

decir que la probabilidad de recibir un bit 1 ó 0 después de haber
recibido un 1 o un 0 es la misma, es decir un 50%.
Es decir, recibido por ejemplo un “1”, la cadena “10” es
igualmente probable que la cadena “11”. Lo mismo sucede con
un 0 al comienzo, un 00, 01, 10, 11, 000, 001, etc. Existe una
equiprobabilidad también en función de los bits ya recibidos.
Como comprobaremos más adelante, esto va a significar que la
secuencia pasa por todos sus estados, es decir todos sus restos.

Tercer postulado de Golomb G3 (1/2)
Postulado G3:
– La autocorrelación AC(k) deberá ser constante
para todo valor de desplazamiento de k bits.
Si 1 0 0 1 1 1 0 Secuencia original
Desplazamiento de un bit a la izquierda
k=1 0 0 1 1 1 0 1 AC(1) = (3-7)/7 = -4/7

k=2 0 1 1 1 0 1 0 AC(2) = (3-7)/7 = -4/7
k=3 1 1 1 0 1 0 0 AC(3) = (3-7)/7 = -4/7

sigue

Tercer postulado de Golomb G3 (2/2)
1 0 0 1 1 1 0 Secuencia original
k=4 1 1 0 1 0 0 1 AC(4) = (3-7)/7 = -4/7
k=5 1 0 1 0 0 1 1 AC(5) = (3-7)/7 = -4/7
k=6 0 1 0 0 1 1 1 AC(6) = (3-7)/7 = -4/7
k=7 1 0 0 1 1 1 0 Secuencia original en fase
La secuencia Si = 1001110 de 7 bits cumple con G3

Autocorrelación no constante (1/2)
Si 0 1 1 1 0 1 0 0 Secuencia original
Desplazamiento de un bit a la izquierda
k=1 1 1 1 0 1 0 0 0 AC(1) = (4-4)/8 = 0
k=2 1 1 0 1 0 0 0 1 AC(2) = (4-4)/8 = 0
k=3 1 0 1 0 0 0 1 1 AC(3) = (2-6)/8 = -1/2

k=4 0 1 0 0 0 1 1 1 AC(4) = (4-4)/8 = 0
sigue

Autocorrelación no constante (2/2)
Si 0 1 1 1 0 1 0 0 Secuencia original
k=5 1 0 0 0 1 1 1 0 AC(5) = (2-6)/8 = -1/2
k=6 0 0 0 1 1 1 0 1 AC(6) = (4-4)/8 = 0

k=7 0 0 1 1 1 0 1 0 AC(7) = (4-4)/8 = 0
k=8 0 1 1 1 0 1 0 0 Secuencia original en fase
La secuencia Si = 01110100 de 8 bits no cumple con G3

Si 0 1 1 1 0 1 0 0 No cumple con G3
Si 1 0 0 1 11 0 Sí cumple con G3
Si una secuencia cumple con el postulado G3 quiere decir
que, independientemente del trozo de secuencia elegido por
el atacante, no habrá una mayor cantidad de información que
en la secuencia anterior. Así, será imposible aplicar ataques
estadísticos a la secuencia recibida u observada al igual
como operábamos, por ejemplo y guardando las debidas
distancias, con el sistema Vigenère y el ataque de Kasiski.

Generador de congruencia lineal
xi+1 = (a∗xi ± b)(mod n) será la secuencia cifrante
• Los valores a, b, n caracterizan al generador y se

utilizarán como clave secreta.
• El valor x0 se conoce como semilla; es el que inicia el
proceso generador de la clave Xi.
• La secuencia se genera desde i = 0 hasta i = n-1.
• Tiene como debilidad que resulta relativamente fácil
atacar la secuencia, de forma similar a los cifradores
afines vistos en criptografía clásica.

Ejemplo generador de congruencia lineal
Sea:
Sea: xi+1 = (a∗xi ± b)(mod n) Pero...
aa==55 bb==11
nn==16
16 xx0==10
0
10
Si = 10, 3, 0, 1, 6, 15, 12, 13, 2, 11, 8, 9, 14, 7, 4, 5
x1 = (5∗10+1) mod 16 = 3 x9 = (5∗2+1) mod 16 = 11

x2 = (5∗3+1) mod 16 = 0 x10 = (5∗11+1) mod 16 = 8
x3 = (5∗0+1) mod 16 = 1 x11 = (5∗8+1) mod 16 = 9
x4 = (5∗1+1) mod 16 = 6 x12 = (5∗9+1) mod 16 = 14
x5 = (5∗6+1) mod 16 = 15 x13 = (5∗14+1) mod 16 = 7
x6 = (5∗15+1) mod 16 = 12 x14 = (5∗7+1) mod 16 = 4
x7 = (5∗12+1) mod 16 = 13 x15 = (5∗4+1) mod 16 = 5
x8 = (5∗13+1) mod 16 = 2 x16 = (5∗5+1) mod 16 = 10

¿Algo falla en este generador?
¿Quésucede
¿Qué sucedesisi
xi+1 = (a∗xi ± b)(mod n) Ejercicios aa==11
11 bb==11
16 xx0==7?
nn==16 0
7?
¿Quésucede
¿Qué sucedesisi ¿Quésucede
¿Qué sucedesisi ¿Quésucede
¿Qué sucedesisi
aa==55 bb==22 aa==55 bb==22 aa==44 bb==11
16 xx0==10?
nn==16 0
10? nn==16
16 xx0==1?
0
1? 16 xx0==10?
nn==16 0
10?
Saque sus propias conclusiones.

Como habrá comprobado, este tipo de generadores de secuencia
cifrante no son criptográficamente nada interesantes.
Una vez hecho esto personalmente, pase a la siguiente diapositiva.

Debilidad en este tipo de generadores
Si = (11∗7 + 1) mod 16 El período que se genera es
Si = 15, 7 sólo de tamaño dos ... /
Si = (5∗10 + 2) mod 16 Se obtiene un período muy

Si = 4, 6, 0, 2, 12, 14, 8, 10 bajo y sólo valores pares e
impares. El primer caso es
Si = (5∗1 + 2) mod 16 igual que el de los apuntes
Si = 7, 5, 11, 9, 15, 13, 3, 1 pero con b = 2 ... / /
Si = (4∗10 + 1) mod 16 Peor aún, ya no se genera

Si = 9, 5, 5, .... una secuencia ... / / /

Registros de desplazamiento
Generador de secuencia cifrante con registros de desplazamiento
Realimentación
g[a(t-1)a(t-2) ...a(t-n+1)]⊕a(t-n)
Si es un bit 0 ó 1
Conexiones de puertas
?
S1 S2 S3 S4 Sn-1 Sn Si
Bit que se pierde
a(t-1) a(t-2) a(t-3) a(t-4) a(t-n+1) a(t-n)
Desplazamiento a(i) es el contenido de la celda i
Genera una secuencia con un período máximo 2n
NLFSR
Registros de Desplazamiento Realimentados No Linealmente
Registros de Desplazamiento Realimentados Linealmente
Por claridad se mantendrá la nomenclatura inglesa LFSR

Generadores NLFSR (1/2)
Un generador de cuatro celdas (n = 4)
Este es el estado
XOR 1
de las celdas y
1
0 las operaciones
OR previas antes de
Primera
operación 0 0 producirse el
AND NOT desplazamiento
de un bit hacia a
S01 S12 S13 S14 la derecha.
S1 S2 S3 S4
Si
Sea la semilla: S1S2S3S4 = 0111 Operaciones

Generadores NLFSR (2/2)
Semilla: S1S2S3S4 = 0111
XOR 1
1
0 Observe que primero
OR se transmite S4S3S2S1
0 0 y luego S5S6S7 ... S12.
AND NOT
Si
S1
01 S0
12 S13 S14 1
S1 S2 S3 S4
Si = 1110 1100 1010 0001. Tmáx = 2n = 24 = 16. Se conoce

como secuencia de De Bruijn. El contenido de las celdas
pasará por todos los estados posibles: 0000 → 1111.

Generadores lineales LFSR
a(t) = C1a(t-1) ⊕ C2a(t-2) ⊕ C3a(t-3) ⊕ ... ⊕ Cna(t-n)
Ci = {1,0} ⇒ conexión/no conexión celda Cn = 1
Función única: XOR Tmáx = 2n - 1
Polinomio asociado:
f(x) = Cnxn + Cn-1xn-1 + .... + C2x2 + C1x + 1
XOR Generador
Generador
LFSRde
LFSR de44
C1 C2 C3 C4
etapas/celdas
etapas/celdas
S1 S2 S3 S4 Si

Tipos de generadores lineales LFSR
Observación: como la única función de realimentación de un
LFSR es un XOR, no estará permitida la cadena de todos ceros.
En función del polinomio asociado tendremos:

• LFSR con polinomios factorizables
• No serán criptográficamente interesantes.
• LFSR con polinomios irreducibles
• No serán criptográficamente interesantes.
• LFSR con polinomios primitivos
• Según los postulados de Golomb, este tipo de polinomio
que genera todos los estados lineales posibles del cuerpo
de trabajo n, será el que nos entregue una secuencia
cifrante de interés criptográfico con período T = 2n –1.

Generador LFSR con f(x) factorizable
Generador f(x) factorizable de cuatro celdas (n = 4)
⊕
Sea f(x) = x4 + x2 +1
f(x) es factorizable porque:

S1 S2 S3 S4 Si
Sea f(x1) = f(x2) = (x2+x+1)
f(x) = f(x1) • f(x2) Problema
f(x) = (x2+x+1) • (x2+x+1) T dependerá de la semilla
f(x) = x4+2x3+3x2+2x+1 T ≤ 2n - 1
Tras la reducción módulo 2 Y además, habrá períodos
Luego f(x) = x4 + x2 +1 secundarios divisores de T.

Ejemplo LFSR con f(x) factorizable (1/2)
f(x) = x4 + x2 + 1
Sea la semilla: ⊕
S1S2S3S4 = 0111
S01 S12 S13 S14 Si

Registro Bit Si Registro Bit Si
0111 1 1110 0
Primer bit:
0011 1 1111 1
resultado de
la operación 1001 1 0111 1 . . . semilla
S1 = S2 ⊕ S4 1100 0 Si = 111001 T = 6

Ejemplo LFSR con f(x) factorizable (2/2)
f(x) = x4 + x2 + 1
Sea ahora la semilla: ⊕
S1S2S3S4 = 1101
S11 S12 S03 S14 Si

Registro Bit Si S1 S2 S3 S4
1101 1
Primer bit: Si = 101 T es un período
0110 0 secundario y en
resultado de T=3
1011 1 en este caso es
la operación incluso menor
S1 = S2 ⊕ S4 1101 1 . . . semilla que la semilla.

Generador LFSR con f(x) irreducible
Generador f(x) irreducible de cuatro celdas (n = 4)
Sea f(x) = x4 + x3 + x2 + x + 1
Es imposible factorizar
⊕
en módulo 2 la función
f(x) mediante dos
S1 S2 S3 S4 Si
polinomios f(x1) y
f(x2) de grado menor Problema
Ahora T ya no depende de la semilla
pero será un factor de Tmáx = 2n – 1 y
no obtendremos un período máximo.

Ejemplo de LFSR con f(x) irreducible
f(x) = x4 + x3 + x2 + x + 1
Sea la semilla: ⊕
S1S2S3S4 = 0001
S01 S02 S03 S14 Si

Registro Bit Si Registro Bit Si
0001 1 0011 1
1000 0 0001 1 . . . semilla
1100 0 Si = 100011 T = 5 siendo
0110 0 Tmáx = 2n - 1 = 24- 1 = 15

Generador LFSR con f(x) primitivo
Generador f(x) primitivo de cuatro celdas (n = 4)
Sea f(x) = x4 + x + 1
f(x) no es factorizable
⊕
como f(x1)•f(x2) en
módulo 2. Será además Si
un generador del grupo. S1 S2 S3 S4
T ya no dependerá de la semilla y será φ(2nn--1)/n
Habráφ(2 1)/n
el valor máximo Tmáx = 2n - 1. Se van a Habrá
generar así las llamadas m-secuencias. polinomiosprimitivos
polinomios primitivos
Polinomios http://mathworld.wolfram.com/PrimitivePolynomial.html
Generación polinomios http://www.theory.csc.uvic.ca/~cos/gen/poly.html

Ejemplo de LFSR con f(x) primitivo
Generador f(x) primitivo de cuatro celdas (n = 4)
f(x) = x4 + x + 1 Si = 100100011110101
⊕
S1S2S3S4 = 1001 S1 = S1 ⊕ S4
Registro Bit Si Si
S11 S02 S03 S14
1001 1
0100 0 1110 0 1010 0 T = 2n - 1
T = 24 - 1
0010 0 1111 1 1101 1 T = 15
0001 1 0111 1 0110 0
1000 0 1011 1 0011 1
1100 0 0101 1 1001 T = 15

Secuencias de un LFSR con f(x) primitivo
Características
• Tendrá una secuencia máxima de 2n - 1 bits.
• Cumplirá con G1:
– Hay 2n bits 1 y 2n-1 bits 0.
• Cumplirá con G2: m-secuencia
– El vector binario de las celdas pasa por todos los
estados excepto la cadena de ceros que está prohibida.
Distribución típica de rachas de una m-secuencia.
• Cumplirá con G3:
– Los aciertos (A) serán iguales a 2n-1 - 1.

Rachas en Si de un LFSR con f(x) primitivo
Rachas de Longitud Rachas de Ceros Rachas de Unos
1 2n-3 2n-3
2 2n-4 2n-4
... ... ...
p 2n-p-2 2n-p-2
... ... ...
n-2 1 1
n-1 1 0
n 0 1
TOTAL 2n-2 2n-2
Rachas de una m-secuencia
Sin embargo, no es un generador ideal para la cifra
porque su Complejidad Lineal es muy baja.

Debilidad de un LFSR con f(x) primitivo
Como este LFSR genera una secuencia de longitud

máxima, ésta será previsible y se puede encontrar la
secuencia completa Si de 2n - 1 bits ...
¡ con sólo conocer 2n bits !
Por ejemplo, si en un sistema de 8 celdas con un período
28-1 = 255 conocemos 2•8 = 16 bits seremos capaces de
encontrar las conexiones de las celdas o valores de Ci y
generar así la secuencia completa Si.
Esta debilidad es la que usa el ataque conocido como
algoritmo de Berlekamp-Massey.

Ejemplo de ataque de Berlekamp-Massey
Si conocemos 2∗n = 8 bits S1S2S3S4S5S6S7S8 de un LFSR
de 4 celdas C1C2C3C4, tenemos el sistema de ecuaciones:
⊕ Si asignamos valores
C1 C2 C3 C4=1 de esos 2∗n = 8 bits
S1 S2 S3 S4 Si S1S2S3S4S5S6S7S8
seremos capaces de
S5 = C1•S1⊕ C2•S2⊕ C3•S3⊕ C4•S4 resolver este sistema
S6 = C1•S5⊕ C2•S1⊕ C3•S2⊕ C4•S3 Primero se transmite
S7 = C1•S6⊕ C2•S5⊕ C3•S1⊕ C4•S2 S4S3S2S1 (semilla) y
S8 = C1•S7⊕ C2•S6⊕ C3•S5⊕ C4•S1 luego bits S5S6S7S8.

Solución al ataque de Berlekamp-Massey
S5 = C1•S1⊕ C2•S2⊕ C3•S3⊕ C4•S4 Si b1b2b3b4b5b6b7b8 = 11001000
S6 = C1•S5⊕ C2•S1⊕ C3•S2⊕ C4•S3 son correlativos y como hay
cuatro celdas y primero se
S7 = C1•S6⊕ C2•S5⊕ C3•S1⊕ C4•S2
transmite la semilla, entonces:
S8 = C1•S7⊕ C2•S6⊕ C3•S5⊕ C4•S1
S1 = 0 S5 = 1
S2 = 0 S6 = 0
1 = C1•0 ⊕ C2•0 ⊕ C3•1⊕ C4•1 S3 = 1 S7 = 0
0 = C1•1 ⊕ C2•0 ⊕ C3•0 ⊕ C4•1 S4 = 1 S8 = 0
0 = C1•0 ⊕ C2•1 ⊕ C3•0 ⊕ C4•0 C1 = 1 C2 = 0
0 = C1•0 ⊕ C2•0 ⊕ C3•1 ⊕ C4•0 C3 = 0 C4 = 1

Conclusiones ataque Berlekamp-Massey
CONCLUSIONES:
• Como se conoce la configuración del generador LFSR, y
Si es una m-secuencia de período 2n - 1, entonces por el
conjunto de n celdas pasarán todos los restos del campo de
Galois de 2n, excepto la cadena de n ceros que sabemos
está prohibida en estos sistemas generadores lineales.
• Para el ejemplo anterior, esto quiere decir que cualquier
grupo de 2n = 8 dígitos correlativos nos permite generar la
secuencia máxima, en este caso de 2n = 16 bits.
• La solución es aumentar la complejidad lineal del
generador por ejemplo conectando varios LFRs.

Complejidad lineal LC
o Un LFSR con polinomio primitivo de n celdas tendrá una
complejidad lineal LC igual a n; es decir con 2n bits se
puede generar la secuencia completa como hemos visto.
o Lo ideal es que si este LFSR entrega una secuencia Si con
un período igual a 2n – 1, su LC fuese cercana a este valor.
o Para aumentar esta LC podemos usar:
o Operaciones no lineales de las secuencias del LFSR
o Operaciones de suma
o Operaciones de multiplicación
o Filtrado no lineal de los estados del LFSR.

Operaciones no lineales con dos registros
LC = n1; T = 2n1-1
Generador primitivo con n1 celdas LC = n1 + n2
LC = n2 T = 2n2-1 ⊕ Si
Generador primitivo con n2 celdas T = mcm (2n1-1, 2n2-1)
Es el modelo usado por A5
LC = n1; T = 2n1-1
Generador primitivo con n1 celdas LC = n1 ∗ n2
LC = n2 T = 2n2-1 ⊗ Si
Generador primitivo con n2 celdas T = mcm (2n1-1, 2n2-1)

Generadores LFSR con filtrado no lineal
Generador de Geffe • Si a1 es un 0 ⇒ Si es el bit de a2
LFSR 2
a2
0 • Si a1 es un 1 ⇒ Si es el bit de a3
Si
a3 Selector Luego: Si = a2 ⊕ a1a2 ⊕ a1a3
LFSR 3 1
LC = (n1 + 1)n2 ⊕ n1n3
a1
LFSR 1 T = mcm (2n1-1, 2n2-1, 2n3-1)
Se mejora la LC e incluso se aumenta si ponemos más LFSRs pero este
generador es débil ante ataques por correlación de bits. Existen muchos
esquemas en esta línea: Beth-Piper, Gollmann, Massey-Rueppel, etc.,
que no serán tratados en este capítulo. En la siguiente web encontrará
diversos ataques algebraicos a cifradores de flujo.
http://www.cryptosystem.net/stream

Algoritmos de cifrado en flujo
Sistemas más conocidos:
• A5: http://www.argo.es/~jcea/artic/hispasec33.htm
– Algoritmo no publicado propuesto en 1994. Versiones A5/1
fuerte (Europa) y A5/2 débil (exportación).
• RC4: http://www.wisdom.weizmann.ac.il/~itsik/RC4/rc4.html
– Algoritmo de RSA Corp. (Rivest Cipher #4) desarrollado en
el año 1987, usado en Lotus Notes y luego en el navegador
de Netscape desde 1999. No es público.
• SEAL: http://www.gemplus.com/smart/rd/publications/pdf/HG97chis.pdf
– Algoritmo propuesto por IBM en 1994.

El algoritmo de cifra A5
¾ El uso habitual de este algoritmo lo encontramos en el

cifrado del enlace entre el abonado y la central de un
teléfono móvil (celular) tipo GSM.
¾ Con cerca de 130 millones de usuarios en Europa y
otros 100 millones de usuarios en el resto del mundo,
el sistema ha sucumbido a un ataque en diciembre de
1999 realizado por Alex Biryukov y Adi Shamir.
¾ Esta es una consecuencia inevitable en el mundo de la
criptografía cuando los desarrolladores de algoritmos
no hacen público el código fuente.
http://www.criptored.upm.es/guiateoria/gt_m116a.htm

Esquema del algoritmo de cifra A5/1
19 14 C1 1
3 registros
LFSR con R1 Una función
9: bit de reloj
mayoría entre
m-secuencia
⊕ f(x1) = x19+x18+x17+x14+1
C1, C2 y C3
hace que sólo
1
⊕
22 C2
los registros en
Si los que coincide
R2
11: bit de reloj el bit con ese
R1 ⇒ n1 = 19 ⊕ f(x2) = x22+x21+1
valor produzcan
desplazamiento.
R2 ⇒ n2 = 22 23 C3 8 1 En cada paso
habrá dos o tres
R3 ⇒ n3 = 23 R3 registros en
11: bit de reloj movimiento.
Clave = 64 bits
⊕ f(x3) = x23+x22+x21+x8+1

Consideraciones sobre el período de A5/1
El período T vendrá dado por el mínimo común múltiplo de los tres
períodos individuales:
T = mcm (2n1 - 1, 2n2 - 1, 2n3 - 1)
Como n1, n2 y n3 son primos entre sí, también lo serán los valores
(2n1 -1), (2n2 - 1) y (2n3 - 1). Luego el período T será el producto:
T = T1∗T2∗T3
Entonces T = (219-1)(222-1)(223-1) = 524.287∗4.194.303∗8.388.607
T = 18.446.702.292.280.803.327 < 264
Este valor demasiado bajo / sucumbe ante ataques distribuidos tal
como veremos cuando se estudien debilidades del algoritmo DES.

Registros y función mayoría en A5/2
• Usa los mismos tres registros de desplazamiento con polinomio
primitivo que A5/1:
– f(x1) = x19 + x18 + x17 + x14 + 1
– f(x2) = x22 + x21 + 1
– f(x3) = x23 + x22 + x21 + x8 + 1
• Además, usa un cuarto registro R4 con un polinomio primitivo:
– f(x4) = x17 + x12 + 1
• Usa cuatro copias de una función mayoría F para cada uno de los
cuatro registros que se define como:
– F(x1,x2,x3) = x1x2 + x1x3 + x2x3

Otras operaciones de A5/2
–
En R1 las entradas a la función F1 son las celdas 13, 15 y 16.
–
–
–
La salida de esta copia determina qué registros de R1,R2,R3
se desplazarán en el ciclo.
• Complementación de celdas y sumas en salida de F:
– En R1 se complementa la celda 15 y se suma la celda 19 a F.

Cuestiones y ejercicios (1 de 3)
1. ¿Por qué en los sistemas de cifra en flujo se usa una función XOR
tanto en emisor como en receptor? ¿Son las claves aquí inversas?
2. Si tenemos una clave de 16 bits, ¿cuál es el período máximo que
podremos lograr en una secuencia cifrante lineal? ¿Por qué?
3. ¿Qué rachas encuentra en la secuencia 110100111010100?
4. ¿Por qué es lógico esperar más rachas cortas que rachas largas?
5. Si en una secuencia cifrante se observa una correlación fuera de fase
no constante, ¿qué significa? ¿Podríamos hacer un ataque similar al
que permite romper el sistema de cifra polialfabético de Vigenère?
6. A nivel de probabilidades de ocurrencia de bits, ¿qué significan los
postulados de Golomb G1 y G2?
7. ¿Qué significa que una secuencia cifrante pase por todos los estados
o restos posibles? ¿Cuál sería en este caso su período?

8. ¿Qué secuencias se obtiene con un generador de congruencia lineal
en el que a = 7, b = 4 y n = 8? ¿Y si ahora hacemos a = 3?
9. ¿Qué tipo de ataque podríamos intentar para romper una secuencia
cifrante obtenida con un generador de congruencia lineal?
10. ¿Por qué en un registro de desplazamiento siempre se realimenta el
bit de la última celda, es decir bit que sale a línea?
11. En el generador NLFSR de los apuntes si se cambia la función AND
por una OR, ¿qué sucede con la secuencia? Saque conclusiones.
12. Decimos que los generadores LFSR tienen asociado un polinomio
f(x) = anxn + an-1xn-1 + an-2xn-2 + ... + a2x2 + a1x + 1, donde ai toma los
valores de 0 ó 1. ¿Por qué f(x) termina en 1?
13. ¿Qué polinomio elegiría para un generador con LFSR, un polinomio
factorizable, uno irreducible o uno primitivo? ¿Por qué?

14. ¿Por qué no está permitida la cadena de n ceros en un generador
LFSR de n etapas y en cambio sí en los NLFSR?
15. En el generador LFSR con f(x) primitivo de 4 etapas, la secuencia
pasa por todos los restos excepto 0000. Si usamos hora una semilla
distinta, ¿debemos hacer otra vez todos los cálculos o no? ¿Por qué?
16. Justifique la distribución de las rachas en una m-secuencia. ¿Por qué
tiene ese comportamiento extraño al final de las rachas largas?
17. ¿Qué debilidad de los sistemas LFSR con polinomios primitivos usa
el algoritmo de Berlekamp-Massey para realizar el ataque?
18. En un ataque de Berlekamp-Massey, ¿importa en qué posición de la
secuencia se encuentran los 2n bits? ¿Por qué?
19. ¿Por qué cree que el algoritmo A5 es débil? ¿Cuál fue el peor error
cometido por sus creadores?

Seguridad Informática y Criptografía. Sistemas de Cifra en Flujo

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Seguridad Informática y Criptografía. Sistemas de Cifra en Flujo

Uploaded by

Copyright:

Available Formats

Capítulo 11

Sistemas de Cifra en Flujo

Seguridad Informática y Criptografía

Ultima actualización del archivo: 01/03/05

Material Docente de Dr. Jorge Ramió Aguirre

Curso de Seguridad Informática y Criptografía © JRA

Clave K secuencia cifrante Clave K

© Jorge Ramió Aguirre Madrid (España) 2005

© Jorge Ramió Aguirre Madrid (España) 2005

1111 entre dos 0s 11 entre dos 0s Racha de 000s

© Jorge Ramió Aguirre Madrid (España) 2005

© Jorge Ramió Aguirre Madrid (España) 2005

© Jorge Ramió Aguirre Madrid (España) 2005

Como ejercicio, compruebe que para esta secuencia cifrante Si la

Es decir, para que una secuencia cifrante S podamos considerada

© Jorge Ramió Aguirre Madrid (España) 2005

© Jorge Ramió Aguirre Madrid (España) 2005

© Jorge Ramió Aguirre Madrid (España) 2005

¿Qué significa esto?

Si una secuencia Si como la indicada cumple con G1, quiere

Capítulo 11: Sistemas de Cifra en Flujo Página 417

© Jorge Ramió Aguirre Madrid (España) 2005

En la secuencia Si de 15 bits, había 4 rachas de longitud uno, 2

© Jorge Ramió Aguirre Madrid (España) 2005

Si una secuencia Si como la indicada cumple con G2, quiere

© Jorge Ramió Aguirre Madrid (España) 2005

k=1 0 0 1 1 1 0 1 AC(1) = (3-7)/7 = -4/7

k=3 1 1 1 0 1 0 0 AC(3) = (3-7)/7 = -4/7

© Jorge Ramió Aguirre Madrid (España) 2005

k=4 1 1 0 1 0 0 1 AC(4) = (3-7)/7 = -4/7

k=5 1 0 1 0 0 1 1 AC(5) = (3-7)/7 = -4/7

k=6 0 1 0 0 1 1 1 AC(6) = (3-7)/7 = -4/7

k=7 1 0 0 1 1 1 0 Secuencia original en fase

La secuencia Si = 1001110 de 7 bits cumple con G3

Capítulo 11: Sistemas de Cifra en Flujo Página 421

© Jorge Ramió Aguirre Madrid (España) 2005

Desplazamiento de un bit a la izquierda

k=1 1 1 1 0 1 0 0 0 AC(1) = (4-4)/8 = 0

k=2 1 1 0 1 0 0 0 1 AC(2) = (4-4)/8 = 0

k=3 1 0 1 0 0 0 1 1 AC(3) = (2-6)/8 = -1/2

© Jorge Ramió Aguirre Madrid (España) 2005

k=5 1 0 0 0 1 1 1 0 AC(5) = (2-6)/8 = -1/2

k=6 0 0 0 1 1 1 0 1 AC(6) = (4-4)/8 = 0

La secuencia Si = 01110100 de 8 bits no cumple con G3

Capítulo 11: Sistemas de Cifra en Flujo Página 423

© Jorge Ramió Aguirre Madrid (España) 2005

© Jorge Ramió Aguirre Madrid (España) 2005

xi+1 = (a∗xi ± b)(mod n) será la secuencia cifrante

• Los valores a, b, n caracterizan al generador y se

© Jorge Ramió Aguirre Madrid (España) 2005

x1 = (5∗10+1) mod 16 = 3 x9 = (5∗2+1) mod 16 = 11

© Jorge Ramió Aguirre Madrid (España) 2005

Saque sus propias conclusiones.

Capítulo 11: Sistemas de Cifra en Flujo Página 427

© Jorge Ramió Aguirre Madrid (España) 2005

Si = (5∗10 + 2) mod 16 Se obtiene un período muy

Si = (4∗10 + 1) mod 16 Peor aún, ya no se genera

Capítulo 11: Sistemas de Cifra en Flujo Página 428

© Jorge Ramió Aguirre Madrid (España) 2005

© Jorge Ramió Aguirre Madrid (España) 2005

Sea la semilla: S1S2S3S4 = 0111 Operaciones

Capítulo 11: Sistemas de Cifra en Flujo Página 430

© Jorge Ramió Aguirre Madrid (España) 2005

Si = 1110 1100 1010 0001. Tmáx = 2n = 24 = 16. Se conoce